St. Jude và Cyber Vulnerability của thiết bị y tế
Vào cuối năm 2016 và đầu năm 2017, các báo cáo tin tức đã nâng cao bóng ma rằng những người có ý định xấu có thể xâm nhập vào thiết bị y tế cấy ghép của một cá nhân và gây ra các vấn đề nghiêm trọng. Jude Medical, Inc., và bao gồm các máy tạo nhịp tim (điều trị nhịp tim chậm và khối tim ), các máy khử rung tim cấy ghép (ICD) (điều trị nhịp nhanh thất và rung thất ) và các thiết bị CRT (mà điều trị suy tim ).
Các báo cáo tin tức này có thể làm dấy lên những lo ngại trong số những người có các thiết bị y tế này mà không đặt vấn đề vào quan điểm đầy đủ.
Có phải các thiết bị tim được cấy ghép có nguy cơ bị tấn công mạng không? Có, bởi vì bất kỳ thiết bị kỹ thuật số nào bao gồm truyền thông không dây ít nhất là về mặt lý thuyết, bao gồm cả máy tạo nhịp tim, thiết bị ICD và CRT. Nhưng cho đến nay, một cuộc tấn công mạng thực sự chống lại bất kỳ thiết bị cấy ghép nào chưa bao giờ được ghi nhận. Và (nhờ phần lớn công khai gần đây về hack, cả thiết bị y tế và chính trị gia), FDA và các nhà sản xuất thiết bị hiện đang làm việc chăm chỉ để vá bất kỳ lỗ hổng nào như vậy.
Jude tim thiết bị và hack
Câu chuyện đầu tiên nổ ra vào tháng 8 năm 2016 khi người bán hàng nổi tiếng Carson Block công bố công khai rằng St. Jude đã bán hàng trăm nghìn máy tạo nhịp tim, máy khử rung tim và thiết bị CRT cực kỳ dễ bị tấn công.
Block nói rằng một công ty an ninh mạng mà anh ta liên kết (MedSec Holdings, Inc.) đã thực hiện một cuộc điều tra chuyên sâu và thấy rằng các thiết bị St. Jude dễ bị tấn công (ngược lại với cùng một loại thiết bị y tế được bán bởi Medtronic, Boston Scientific, và các công ty khác).
Đặc biệt, Block cho biết, các hệ thống St. Jude “thiếu thậm chí các hệ thống bảo mật cơ bản nhất”, chẳng hạn như các thiết bị chống giả mạo, mã hóa và các công cụ chống gỡ lỗi, thuộc loại thường được sử dụng bởi phần còn lại của ngành.
Các lỗ hổng được cho là liên quan đến việc giám sát từ xa, không dây mà tất cả các thiết bị này đã tích hợp vào chúng. Các hệ thống giám sát không dây này được thiết kế để tự động phát hiện các vấn đề thiết bị mới nổi trước khi chúng có thể gây hại, và truyền đạt những vấn đề này ngay lập tức cho bác sĩ. Tính năng giám sát từ xa này, hiện đang được tất cả các nhà sản xuất thiết bị sử dụng, đã được ghi nhận để cải thiện đáng kể sự an toàn cho những bệnh nhân có những sản phẩm này. Hệ thống giám sát từ xa của St. Jude được gọi là “Merlin.net”.
Các cáo buộc của Block khá ngoạn mục và khiến giá cổ phiếu của St. Jude giảm ngay lập tức - chính xác là mục tiêu của Block. Đáng chú ý, trước khi đưa ra cáo buộc của ông về St. Jude, công ty của Block (Muddy Waters, LLC), đã chiếm một vị trí quan trọng trong St. Jude. Điều này có nghĩa là công ty của Block đứng hàng triệu USD nếu cổ phiếu của St. Jude giảm đáng kể, và vẫn ở mức thấp đủ để scotch một thỏa thuận mua lại được thỏa thuận bởi Abbott Labs.
Sau cuộc tấn công được công bố rộng rãi của Block, St Jude ngay lập tức sa thải trở lại với những thông cáo báo chí mạnh mẽ về việc hiệu ứng của Block là “hoàn toàn không đúng sự thật.” St. Jude cũng kiện Muddy Waters, LLC vì bị cáo buộc phổ biến thông tin sai lệch để thao túng St. Jude's giá cổ phiếu. Trong khi đó, các nhà điều tra độc lập đã xem xét câu hỏi dễ bị tổn thương của St. Jude và đưa ra các kết luận khác nhau. Một nhóm xác nhận rằng các thiết bị của St. Jude đặc biệt dễ bị tấn công mạng; một nhóm khác kết luận rằng họ không. Toàn bộ vấn đề đã bị vứt bỏ trong lòng của FDA, điều đã đưa ra một cuộc điều tra mạnh mẽ, và ít được nghe về vấn đề này trong vài tháng.
Trong thời gian đó cổ phiếu của St. Jude đã phục hồi phần lớn giá trị bị mất của nó, và cuối năm 2016 việc sáp nhập của Abbott đã được kết thúc thành công.
Sau đó, vào tháng 1 năm 2017, hai điều đã xảy ra cùng một lúc. Đầu tiên, FDA phát hành một tuyên bố chỉ ra rằng thực sự có vấn đề an ninh mạng với thiết bị y tế St. Jude, và lỗ hổng này thực sự có thể cho phép xâm nhập và khai thác mạng có thể gây hại cho bệnh nhân. Tuy nhiên, FDA chỉ ra rằng không có bằng chứng nào cho thấy việc hack thực sự xảy ra ở bất kỳ cá nhân nào.
Thứ hai, St. Jude đã phát hành một bản vá phần mềm bảo mật mạng được thiết kế để giảm thiểu khả năng xâm nhập vào các thiết bị cấy ghép của chúng. Bản vá phần mềm được thiết kế để cài đặt tự động và không dây, trên Merlin.net của St. Jude. FDA khuyến cáo rằng những bệnh nhân có những thiết bị này tiếp tục sử dụng hệ thống giám sát không dây của St Jude, vì “lợi ích sức khỏe cho bệnh nhân tiếp tục sử dụng thiết bị vượt quá rủi ro an ninh mạng”.
Nó bỏ chúng ta ở đâu?
Những điều nói trên khá nhiều mô tả các sự kiện như chúng ta trong công chúng biết chúng. Là một người có quan hệ mật thiết với sự phát triển của hệ thống giám sát từ xa thiết bị cấy ghép đầu tiên (không phải của St. Jude), tôi giải thích tất cả điều này theo cách sau: Có vẻ như chắc chắn có những lỗ hổng bảo mật không gian mạng trong hệ thống giám sát từ xa St. và những lỗ hổng này dường như đã vượt quá mức bình thường đối với ngành công nghiệp. (Vì vậy, từ chối ban đầu của Thánh Jude dường như đã bị phóng đại.)
Hơn nữa, rõ ràng là St. Jude di chuyển nhanh chóng để khắc phục lỗ hổng này, làm việc cùng với FDA, và rằng các bước này cuối cùng được coi là thỏa đáng của FDA. Trong thực tế, đánh giá bởi sự hợp tác của FDA và thực tế là lỗ hổng đã được xử lý đầy đủ bằng phương tiện của một miếng vá phần mềm, vấn đề của St. Jude dường như không gần như nghiêm trọng như đã bị cáo buộc bởi ông Block vào năm 2016. ( Vì vậy, các phát biểu ban đầu của ông Block dường như đã được phóng đại). Hơn nữa, những sửa chữa đã được thực hiện trước khi bất cứ ai bị tổn hại.
Cho dù xung đột lợi ích của ông Block (theo đó làm giảm giá cổ phiếu của St. Jude đã khiến ông phải trả giá cao), có thể đã khiến ông phải vượt qua những rủi ro tiềm tàng trên mạng có thể xảy ra, nhưng đây là câu hỏi của các tòa án để xác định .
Hiện tại có vẻ như, với bản vá lỗi phần mềm khắc phục được áp dụng, những người có thiết bị St. Jude không có lý do cụ thể nào để lo lắng quá nhiều về các cuộc tấn công hacking.
Tại sao thiết bị tim có thể bị tổn thương dễ bị tấn công trên mạng?
Bởi bây giờ hầu hết chúng ta nhận ra rằng bất kỳ thiết bị kỹ thuật số nào chúng tôi sử dụng trong cuộc sống của chúng tôi liên quan đến truyền thông không dây ít nhất về mặt lý thuyết đều dễ bị tấn công mạng. Điều đó bao gồm bất kỳ thiết bị y tế cấy ghép nào, tất cả đều phải giao tiếp không dây với thế giới bên ngoài (tức là thế giới bên ngoài cơ thể).
Khả năng những người hoặc các nhóm bị quấy rầy về tội ác thực sự có thể xâm nhập vào các thiết bị y tế, trong vài năm qua, có vẻ như là một mối đe dọa thực sự hơn. Trong ánh sáng này, sự công khai xung quanh các lỗ hổng St. Jude có thể có tác động tích cực. Rõ ràng là cả ngành công nghiệp thiết bị y tế và FDA hiện đang rất nghiêm túc về mối đe dọa này, và hiện đang hành động với sức sống đáng kể để đáp ứng nó.
FDA đang làm gì về vấn đề này?
Sự chú ý của FDA mới tập trung vào vấn đề này, phần lớn là do sự tranh cãi về các thiết bị St. Jude. Vào tháng 12 năm 2016, FDA đã phát hành một tài liệu hướng dẫn 30 trang cho các nhà sản xuất thiết bị y tế, đưa ra một bộ quy tắc mới để giải quyết các lỗ hổng mạng trong các thiết bị y tế đã có mặt trên thị trường. Các quy định mới mô tả cách thức các nhà sản xuất nên đi về xác định và sửa chữa các lỗ hổng bảo mật mạng trong các sản phẩm được bán trên thị trường và cách thiết lập các chương trình để xác định và báo cáo các vấn đề bảo mật mới.
Điểm mấu chốt
Do những rủi ro không gian mạng liên quan đến bất kỳ hệ thống truyền thông không dây nào, một số mức độ dễ bị tổn thương mạng là không thể tránh khỏi với các thiết bị y tế cấy ghép. Nhưng điều quan trọng là phải biết rằng việc phòng thủ có thể được xây dựng thành những sản phẩm này để làm cho việc hack chỉ là một khả năng từ xa, và thậm chí cả Block cũng đồng ý rằng đối với hầu hết các công ty, điều này đã xảy ra. Nếu St. Jude trước đó đã phần nào lax về vấn đề này, công ty dường như đã được chữa khỏi của nó bởi công khai tiêu cực mà họ nhận được trong năm 2016, trong một thời gian nghiêm trọng đe dọa kinh doanh của họ. Trong số những thứ khác, St. Jude đã ủy nhiệm một Hội đồng cố vấn y tế an ninh mạng độc lập để giám sát những nỗ lực của mình trong tương lai. Các công ty thiết bị y tế khác có khả năng làm theo. Do đó, cả các nhà sản xuất thiết bị y tế và FDA đều đang giải quyết vấn đề với sức sống tăng lên.
Những người đã cấy ghép máy tạo nhịp tim, thiết bị ICD hoặc CRT chắc chắn phải chú ý đến vấn đề lỗ hổng mạng, vì chúng tôi có thể nghe nhiều hơn về nó khi thời gian trôi qua. Nhưng hiện nay, ít nhất, rủi ro có vẻ là khá nhỏ, và chắc chắn là lớn hơn bởi những lợi ích của giám sát thiết bị từ xa.
> Nguồn:
> FDA. Các lỗ hổng bảo mật không an toàn được xác định trong các thiết bị tim mạch của St Jude Medical và Merlin @ home Transmitter: Truyền thông an toàn của FDA. Ngày 9 tháng 1 năm 2017.
> Muddy Waters. Tuyên bố MW về sự thừa nhận của STJ / ABT về các lỗ hổng trên mạng. Thông cáo báo chí ngày 9 tháng 1 năm 2017.
> St Jude Medical. St Jude Medical thông báo thông cáo báo chí cập nhật của Cybersecurity Updates. Ngày 9 tháng 1 năm 2017.